Говорят, подслушивать нехорошо. Но прослушивание сетевого трафика для многих не хобби, а настоящая профессия. Почему-то считается, что для этого требуется какое-то особо дорогое оборудование, но я расскажу, как организовать прослушивание трафика в сети с помощью обычных терминалов-крокодилов.
Информация
Эта статья является частью серии статей о хакерских атаках и самодельных методах взлома. В этих материалах мы раскрываем простые способы получения несанкционированного доступа к защищенной информации и показываем, как мы защищаем ее от подобных атак. Предыдущая статья из серии: Атака с холодной загрузкой. Сброс оперативной памяти с помощью флешки.
Это довольно красивая по своей простоте и оригинальности атака, состоящая в полудуплексном прослушивании трафика по витой паре RJ45. Это означает, что прослушивается только половина трафика, входящего или исходящего.
Перехват витой пары — тема не новая, но актуальная и на сегодняшний день в силу своей крайней распространенности: несмотря на то, что «оптика» сейчас распространена повсеместно, старая добрая витая пара встречается практически в каждом подъезде или коридоре жилого дома. офисное здание. В жилых домах можно встретить такие провода, протянутые почти к каждой квартире. А иногда это выглядит так.
Таким образом, ваш домашний трафик, который мы увидим в следующий раз, достаточно легко прослушивается. Да и в современных офисах тоже часто можно встретить витую пару.
Другими словами, атака может быть осуществлена из помещения, где есть беспрепятственный доступ к витым проводам: коридор офисного здания или самый обычный подъезд.
Чаще всего витые пары встречаются на «последней миле», прямо возле абонентских устройств. А вот между домами, территориальными отделениями компаний, то есть на большие расстояния, скорее всего, будет использоваться оптика, так что прослушать целый дом, компанию и даже город конечно не получится.
Теория
Кабель RJ45 состоит из четырех пар жил, отличающихся по цвету. Каждая пара представляет собой два провода, скрученных вместе.
У каждой пары своя роль:
- желеная — прием данных;
- оранжевая — передача данных;
- коричневый — PoE, данные 1000 Мбит/с;
- синий – PoE+, данные 1000 Мбит/с.
Входящий и исходящий сетевой трафик проходит через определенную пару ядер, а сами байты кодируются простым изменением характеристик электрического сигнала внутри них.
Оборудование
Для реализации атаки нам понадобится обычная сетевая карта Ethernet и сегмент витой пары, состоящий всего из двух ядер. Такой провод можно сделать самостоятельно, купив в специализированном магазине, а можно поменять готовый патч-корд.
Нас будет интересовать только пара RX (первое и второе ядро), реализованная в виде обычного разъема RJ45, как показано на следующем рисунке.
С обратной стороны соединяем первую и вторую жилы самыми обычными крокодилами. В результате получается провод, показанный на следующем рисунке.
В этом случае белый аллигатор — это положительный контакт, а черный — отрицательный. Подключим этот модифицированный провод напрямую к сетевой карте злоумышленника.
Эксплуатация
Прослушивание самого трафика реализуется подключением этих крокодилов либо к оранжевой, либо к зеленой паре, как показано на следующем рисунке.
